Các nhà nghiên cứu an ninh mạng hôm thứ Năm đã kết thúc một chiến dịch gián điệp mới, đang diễn ra nhằm vào các mạng công ty ở các quốc gia nói tiếng Tây Ban Nha, cụ thể là Venezuela, để theo dõi các nạn nhân của nó.
Được mệnh danh là “Bandidos“của ESET do sử dụng biến thể nâng cấp của phần mềm độc hại Bandook, mục tiêu chính của kẻ đe dọa là các mạng công ty ở quốc gia Nam Mỹ trải dài trên các lĩnh vực sản xuất, xây dựng, chăm sóc sức khỏe, dịch vụ phần mềm và bán lẻ.
Được viết bằng cả Delphi và C ++, Bandook có lịch sử bị bán như một trojan truy cập từ xa thương mại (RAT) có niên đại từ năm 2005. Kể từ đó, nhiều biến thể đã xuất hiện trên bối cảnh mối đe dọa và được đưa vào sử dụng trong các chiến dịch giám sát khác nhau vào năm 2015 và 2017, bị cáo buộc bởi một nhóm lính đánh thuê mạng có tên Dark Caracal đại diện cho lợi ích của chính phủ ở Kazakhstan và Lebanon.
Trong sự trỗi dậy liên tục của Trojan Bandook, Check Point vào năm ngoái tiết lộ ba mẫu mới – một trong số đó hỗ trợ 120 lệnh – được sử dụng bởi cùng một đối thủ để tấn công chính phủ, tài chính, năng lượng, công nghiệp thực phẩm, chăm sóc sức khỏe, giáo dục, CNTT và các tổ chức pháp lý ở Chile, Síp, Đức, Indonesia, Ý, Singapore, Thụy Sĩ, Thổ Nhĩ Kỳ và Hoa Kỳ
Chuỗi tấn công mới nhất bắt đầu với việc các nạn nhân tiềm năng nhận được email độc hại có tệp đính kèm PDF, chứa URL rút gọn để tải xuống tệp nén được lưu trữ trên Google Cloud, SpiderOak hoặc pCloud và mật khẩu để giải nén. Giải nén kho lưu trữ cho thấy một ống nhỏ giọt phần mềm độc hại giải mã và đưa Bandook vào quy trình Internet Explorer.
Điều thú vị là, biến thể mới nhất của Bandook được ESET phân tích chứa 132 lệnh, tăng từ 120 lệnh được Check Point báo cáo, ngụ ý rằng nhóm tội phạm đằng sau phần mềm độc hại đang cải tiến các công cụ độc hại của họ với các khả năng được cải thiện và sức mạnh vượt trội.
Nhà nghiên cứu Fernando Tavella của ESET cho biết: “Đặc biệt thú vị là chức năng ChromeInject. “Khi giao tiếp với máy chủ chỉ huy và điều khiển của kẻ tấn công được thiết lập, trọng tải tải xuống tệp DLL, tệp này có phương thức được xuất tạo ra một tiện ích mở rộng Chrome độc hại. Tiện ích mở rộng độc hại cố gắng truy xuất bất kỳ thông tin đăng nhập nào mà nạn nhân gửi đến một URL. Những thông tin đăng nhập được lưu trữ trong bộ nhớ cục bộ của Chrome. “
Một số lệnh chính mà tải trọng có khả năng xử lý bao gồm liệt kê nội dung thư mục, thao tác tệp, chụp ảnh màn hình, điều khiển con trỏ trên máy nạn nhân, cài đặt các tệp DLL độc hại, chấm dứt các quy trình đang chạy, tải xuống tệp từ một URL cụ thể, trích xuất kết quả của các hoạt động tới máy chủ từ xa và thậm chí tự gỡ cài đặt khỏi máy bị nhiễm.
Nếu bất cứ điều gì, sự phát triển là một dấu hiệu khác cho thấy kẻ thù vẫn có thể tận dụng các giải pháp phần mềm tội phạm cũ để tạo điều kiện cho các cuộc tấn công.
“[Bandook’s] tham gia vào các chiến dịch gián điệp khác nhau […] cho chúng tôi thấy rằng nó vẫn là một công cụ phù hợp cho tội phạm mạng “, các nhà nghiên cứu cho biết.” Ngoài ra, nếu chúng tôi xem xét các sửa đổi được thực hiện đối với phần mềm độc hại trong những năm qua, nó cho chúng tôi thấy sự quan tâm của tội phạm mạng để tiếp tục sử dụng phần mềm độc hại này trong các chiến dịch độc hại , khiến nó ngày càng tinh vi và khó phát hiện hơn. “
